notempty
Konfiguration einer Roadwarrior-Verbindung mit IPSec
Changelog
Letzte Anpassung zur Version: 11.8
- Designanpassung
- Übersetzung
Vorherige Versionen: 11.6.12
Einleitung
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen wird ein separates Client Programm benötigt. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet bereits einen Client für natives IPSec.
Konfiguration einer nativen IPSec Verbindung
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.
Einrichtungsassistent
Schritt 1 Verbindungstyp | |||
Auswahl des Verbindungs-Typs | es stehen folgende Verbindungen zur Verfügung:
|
Für die Konfiguration einer Roadwarrior Verbindung wird eben diese ausgewählt. | |
2 Allgemein | |||
Name: | IPSec Roadwarrior | Name für die Verbindung | |
Verbindungstyp: |
Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird. | ||
Authentifizierungsmethode: | Alternativ: * * (Nicht bei IKEv2 !) | ||
Pre-Shared Key: | 12345 | Ein beiliebiger PSK. Mit der Schaltfläche | wird ein sehr starker Schlüssel erzeugt.|
X.509 Zertifikat: | Auswahl eines Zertifikates | ||
3 Lokal | |||
Local Gateway ID: | eth0 | Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. | |
Netzwerk freigeben: | 192.168.122.0/24 | Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll | |
4 Gegenstelle | |||
Remote Gateway ID: | 192.0.2.192 oder Mein_Roadwarrior |
Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen. |
|
IP-Adresse(n): | 192.168.222.35 | IP-Adresse für den Roadwarrior.
Für dieses Beispiel wird das nach Beendigung des Assistenten das soeben angelegte Subnetz bearbeitet und für das Remote-Netzwerk der Wert 192.168.22.0/24 eingebtragen. | |
Beenden des Einrichtungsassistenten mit | |||
RegelwerkUm den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden. | |||
Implizite RegelnEs ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei. Abschnitt |
|||
Netzwerkobjekt anlegenNetzwerkobjekte | |||
Name: | ngrp-IPSec-Roadwarrior | Name für das IPSec-Netzwerkobjekt | |
Typ: | VPN-Netzwerk | zu wählender Typ | |
Adresse: | 192.168.222.0/24 | Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen wurde. In diesem Beispiel also das Netzwerk 192.168.222.0/24. | |
Zone: | vpn-ipsec | zu wählende Zone | |
Gruppe: | Optional: Gruppe | ||
Portfilter Regeln |
|||
Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird. | |||
Quelle |
internet | Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll. | |
Ziel |
external-interface | Schnittstelle, auf der die Verbindung ankommt. | |
Dienst |
ipsec | Vordefinierte Dienstgruppe für IPSec Dienst / Protokoll, Port
isakmp / udp 500
nat-traversal / udp 4500
Protokoll esp | |
Eine zweite Regel erlaubt dann dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe. | |||
IPSec Roadwarrior | Roadwarrior -Host oder -Netzwerk | ||
dmz1-network | Netzwerk, auf das zugegriffen werden soll. | ||
xyz | Gewünschter Dienst oder Dienstgruppe |
Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.
Bei Verwendung des bintec-elmeg-Clients müssen z.B. die Parameter
- Diffie-Hellman Group: (UTM) bzw. IKE-DH-Gruppe (bintec) und
- DH-Gruppe (PFS) (UTM) bzw. IKE DH-Gruppe (bintec)
entweder in der UTM oder im bintec-Client angepasst werden.
Bei Verwendung von IKEv1 muss außerdem der
- Austausch-Modus
im bintec-Client auf den sicheren Main Mode (IKEv1) eingestellt werden.
Default-Werte UTM | Default-Werte NCP-Client | |
---|---|---|
Phase 1 | ||
Verschlüsselung: | AES 128 Bit | |
Authentifizierung: | Hash: SHA2 256 Bit | |
Diffie-Hellman Group: | IKE DH-Grupe: DH2 (modp1024) | |
Strict: | ||
IKE Lifetime: | ||
Rekeying: | ||
Phase 2 | ||
AES 128 Bit | ||
SHA2 256 Bit | ||
DH-Gruppe (PFS): | keine | |
Schlüssel-Lebensdauer: | 8 | |
Neustart nach Abbruch: | ||
Austausch-Modus | Main Mode (nicht konfigurierbar) | Agressive Mode (IKEv1) |